IT-аудит инфраструктуры: полный чек-лист для бизнеса в 2026 году

Ваш сервер работает на Windows Server 2012. Бэкапы «вроде есть», но их никто не проверял год. Пароль администратора знают трое, включая бывшего системного администратора. Знакомо?

За 17 лет работы IT-Premium провела сотни аудитов для украинских компаний. И в 80% случаев мы находили критические проблемы, о которых владельцы даже не подозревали.

Зачем бизнесу IT-аудит

IT-аудит — это не формальность и не «галочка для ISO». Это диагностика вашего бизнеса, так же как ежегодный медосмотр для человека.

Реальные примеры из нашей практики:

  • Логистическая компания: все 47 ПК работали под одной учётной записью администратора. Один вирус мог парализовать весь бизнес
  • Бухгалтерская фирма: бэкапы BAS делались на тот же физический диск, что и база данных. При выходе диска из строя терялось бы всё
  • Торговая сеть: Wi-Fi сеть магазина использовала пароль «12345678» и давала доступ к внутренней сети с кассовыми терминалами

Когда нужно проводить IT-аудит

Планово IT-аудит стоит проводить ежегодно. Но есть ситуации, когда его нужно делать срочно:

  • Смена IT-специалиста — уволился или мобилизован сисадмин
  • Инцидент безопасности — вирус, взлом, утечка данных
  • Масштабирование бизнеса — открытие новых офисов или филиалов
  • Переход на новое ПО — внедрение BAS, CRM, ERP
  • Подготовка к сертификации — ISO 27001, SOC 2
  • После слияния или поглощения — интеграция IT-систем

Полный чек-лист IT-аудита

1. Сетевая инфраструктура

Активное оборудование:

  • Инвентаризация всех маршрутизаторов, коммутаторов, точек доступа Wi-Fi
  • Проверка версий прошивок — обновлены ли до последних стабильных версий
  • Наличие резервного оборудования для критических узлов
  • Документация сетевой топологии (актуальная, а не «схема от 2019 года»)

Безопасность сети:

  • Сегментация сети — разделены ли гостевой, рабочий и серверный сегменты
  • Настройка firewall — правила, логирование, регулярность ревизии
  • Мониторинг трафика — есть ли инструменты обнаружения аномалий
  • VPN для удалённого доступа — протоколы, сертификаты, двухфакторная аутентификация

Wi-Fi:

  • WPA3 или WPA2-Enterprise (не WPA2-Personal с общим паролем)
  • Отдельная гостевая сеть без доступа к внутренним ресурсам
  • Регулярная смена паролей (минимум раз в квартал)

2. Серверная инфраструктура

Аппаратное обеспечение:

  • Возраст серверов — оборудование старше 5 лет требует плана замены
  • Состояние RAID-массивов — проверка на деградировавшие диски
  • Источники бесперебойного питания (ИБП) — тестирование, ресурс батарей
  • Температурный режим серверной комнаты

Операционные системы:

  • Актуальность ОС — Windows Server 2012/2016 уже без поддержки
  • Регулярность обновлений безопасности — автоматические или ручные, как часто
  • Лицензирование — легальность и актуальность лицензий

Виртуализация:

  • Платформа (Hyper-V, VMware, Proxmox) — версия, обновления
  • Распределение ресурсов между виртуальными машинами
  • Snapshots — не заменяют бэкапы, но используются ли правильно

3. Резервное копирование

Это самый критический раздел аудита. По нашей статистике, у 60% компаний бэкапы не работают должным образом.

Что проверять:

  • Правило 3-2-1: три копии, два разных носителя, одна копия offsite
  • Частота бэкапов — для критических систем минимум ежедневно
  • Тестовое восстановление — когда последний раз реально восстанавливали из бэкапа?
  • Шифрование бэкапов — особенно для offsite копий
  • Время восстановления (RTO) и точка восстановления (RPO) — удовлетворяют ли бизнес

Типичные ошибки:

  • Бэкап на тот же физический сервер
  • Бэкапы есть, но никто не знает пароль для восстановления
  • Копируется только база данных, без конфигураций и настроек
  • Нет бэкапа облачных сервисов (Microsoft 365, Google Workspace)

4. Кибербезопасность

Антивирусная защита:

  • Наличие корпоративного антивируса на всех устройствах
  • Централизованное управление — не индивидуальные лицензии
  • Актуальность баз и версий
  • Политики сканирования

Управление доступом:

  • Active Directory или аналог — централизованное управление учётными записями
  • Принцип минимальных привилегий — каждый имеет только необходимый доступ
  • Двухфакторная аутентификация (2FA) для критических систем
  • Процедура деактивации при увольнении сотрудника (в течение часа, не недели)

Пароли:

  • Политика сложности — минимум 12 символов, разные типы символов
  • Запрет повторного использования
  • Менеджер паролей для корпоративного использования
  • Проверка на утечки (haveibeenpwned)

Электронная почта:

  • SPF, DKIM, DMARC записи настроены и мониторятся
  • Фильтрация спама и фишинга
  • Обучение сотрудников распознаванию фишинга

5. Рабочие станции

  • Инвентаризация всех ПК, ноутбуков, планшетов
  • Актуальность ОС — поддержка Windows 10 завершилась в октябре 2025
  • Стандартизация конфигураций
  • Шифрование дисков (BitLocker, FileVault)
  • Политика использования USB-устройств

6. Лицензирование и комплаенс

  • Аудит всех программных лицензий
  • Соответствие количества лицензий количеству пользователей
  • Подписки — что автоматически продлевается, сколько стоит
  • Неиспользуемое ПО — возможность оптимизации расходов

7. Документация и процессы

Документация (чаще всего отсутствует):

  • Сетевая схема — актуальная, с IP-адресами и VLAN
  • Список учётных записей и доступов
  • Инструкции по восстановлению после аварии (DRP)
  • Контакты провайдеров и поставщиков

Процессы:

  • Порядок подачи и обработки IT-заявок
  • Эскалация инцидентов — кто отвечает, сроки реакции
  • Управление изменениями — кто и как вносит изменения в инфраструктуру
  • Онбординг/офбординг сотрудников

Как проводить аудит: пошаговая методология

Шаг 1: Подготовка (1–2 дня)

Определите scope аудита. Для малого бизнеса обычно достаточно проверить всё. Для среднего — приоритизируйте критические системы.

Шаг 2: Сбор информации (2–3 дня)

Автоматическое сканирование сети, инвентаризация оборудования и ПО, интервью с IT-персоналом и ключевыми пользователями.

Шаг 3: Анализ (2–3 дня)

Сравнение текущего состояния с best practices и стандартами. Оценка рисков. Приоритизация находок.

Шаг 4: Отчёт и рекомендации (1–2 дня)

Детальный отчёт с категоризацией проблем по критичности:

  • 🔴 Критические — требуют немедленного исправления
  • 🟡 Важные — исправить в течение месяца
  • 🟢 Рекомендации — улучшения для оптимизации

Шаг 5: План действий

Конкретный план с сроками, ответственными и бюджетом для каждого пункта.

Сколько стоит IT-аудит

Стоимость зависит от масштаба:

  • Малый бизнес (до 20 ПК): 10 000–25 000 грн
  • Средний бизнес (20–100 ПК): 25 000–60 000 грн
  • Крупный бизнес (100+ ПК): от 60 000 грн, индивидуально

Сравните это со стоимостью простоя: по нашим исследованиям, час простоя обходится украинскому бизнесу в среднем в 50 000 грн. Аудит окупается после первого предотвращённого инцидента.

Почему не стоит делать аудит самостоятельно

Внутренний IT-специалист может не увидеть проблемы, к которым привык. Это как проверять собственную контрольную работу — ошибки «замыливаются».

Независимый аудит от внешней компании даёт:

  • Объективную оценку без внутренней политики
  • Свежий взгляд — опыт сотен других компаний
  • Бенчмаркинг — сравнение с отраслевыми стандартами
  • Ответственность — внешний аудитор несёт репутационную ответственность за выводы

Заключение

IT-аудит — это инвестиция в стабильность бизнеса, а не расход. Используйте этот чек-лист для самостоятельной первичной оценки, но для полноценного аудита обратитесь к профессионалам.

IT-Premium проводит комплексный IT-аудит для бизнеса любого масштаба. За 17 лет мы проверили сотни инфраструктур и знаем, где обычно прячутся проблемы. Закажите бесплатную консультацию — мы поможем определить scope и стоимость аудита для вашей компании.

Проконсультируйтесь сейчас